出典: http://blog.trendmicro.co.jp/archives/14654
【概要】
- GitHubのリポジトリを利用して C&C情報を取得
- 暗号化アルゴリズム
- PlugX様式+シフト文字列+ Base64
- PlugX様式+シフト文字列+ Base64 + XOR
- PlugX様式+ Base64 + XOR
- マーク文字列+シフト文字列+ Base64暗号化方式
【ブログ】
◆「WINNTI」、C&C通信にGitHubを悪用 (Trendmicro, 2017/03/30)
http://blog.trendmicro.co.jp/archives/14654
【関連まとめ記事】
◆Winnti (まとめ)
http://malware-log.hatenablog.com/entry/winnti
【インディケータ情報】
■ハッシュ情報(Sha256)
| Sha256 | ファイル名 |
|---|---|
| 06b077e31a6f339c4f3b1f61ba9a6a6ba827afe52ed5bed6a6bf56bf18a279ba | cryptbase.dll |
| 1e63a7186886deea6c4e5c2a329eab76a60be3a65bca1ba9ed6e71f9a46b7e9d | loadperf.dll |
| 7c37ebb96c54d5d8ea232951ccf56cb1d029facdd6b730f80ca2ad566f6c5d9b | loadoerf.ini |
| 9d04ef8708cf030b9688bf3e8287c1790023a76374e43bd332178e212420f9fb | wbemcomn.ini |
| b1a0d0508ee932bbf91625330d2136f33344ed70cb25f7e64be0620d32c4b9e2 | cryptbase.ini |
| e5273b72c853f12b77a11e9c08ae6432fabbb32238ac487af2fb959a6cc26089 | wbemcomn.dll |
■通信先(C&Cサーバ)
| IPアドレス | ポート |
|---|---|
| 160.16.]243.129 | 443 (HTTPS) |
| 160.16.243.129 | 53 (DNS) |
| 160.16.243.129 | 80 (HTTP) |
| 174.139.203.18 | 443 (HTTPS) |
| 174.139.203.18 | 53 (DNS) |
| 174.139.203.20 | 53 (DNS) |
| 174.139.203.22 | 443 (HTTPS) |
| 174.139.203.22 | 53 (DNS) |
| 174.139.203.27 | 53 (DNS) |
| 174.139.203.34 | 53 (DNS) |
| 174.139.62.58 | 80 (HTTP) |
| 174.139.62.60 | 443 (HTTPS) |
| 174.139.62.60 | 53 (DNS) |
| 174.139.62.60 | 80 (HTTP) |
| 174.139.62.61 | 443 (HTTPS) |
| 61.195.98.245 | 443 (HTTPS) |
| 61.195.98.245 | 53 (DNS) |
| 61.195.98.245 | 80 (HTTP) |
| 67.198.161.250 | 443 (HTTPS) |
| 67.198.161.250 | 53 (DNS) |
| 67.198.161.251 | 443 (HTTPS) |
| 67.198.161.252 | 443 (HTTPS) |
